MENU
mobile-logo
 

TISAX

Cos’è TISAX e perché è cruciale per l’industria automotive

L’industria automobilistica moderna si trova ad affrontare sfide senza precedenti nella protezione delle informazioni. Con la digitalizzazione crescente, la condivisione di dati sensibili lungo tutta la catena di fornitura è diventata essenziale ma anche rischiosa. TISAX emerge come lo standard di riferimento per garantire che ogni attore della supply chain mantenga livelli adeguati di sicurezza delle informazioni.

TISAX: La sicurezza delle informazioni nell’industria automobilistica

TISAX (Trusted Information Security Assessment Exchange) rappresenta lo standard di eccellenza per la valutazione della sicurezza delle informazioni nel settore automotive. Sviluppato dall’associazione tedesca VDA (Verband der Automobilindustrie) e gestito dall’organizzazione ENX (European Network Exchange), TISAX fornisce un framework completo e riconosciuto a livello internazionale.

L’obiettivo primario è proteggere i dati più sensibili che circolano nell’ecosistema automotive: prototipi di nuovi veicoli, specifiche tecniche di produzione, proprietà intellettuale, strategie di mercato e dati dei clienti. La perdita o il furto di queste informazioni potrebbe compromettere la competitività di un’azienda e danneggiare gravemente la sua reputazione.

TISAX è stato adottato e riconosciuto dai principali Original Equipment Manufacturers (OEM) del mondo, tra cui BMW, Volkswagen, Mercedes-Benz, Audi, Porsche e molti altri. Questi costruttori richiedono ai loro fornitori di primo, secondo e terzo livello di ottenere la certificazione TISAX come prerequisito per la collaborazione commerciale.

Sicurezza condivisa lungo tutta la supply chain

La catena di fornitura automotive è complessa e interconnessa. Ogni anello deve garantire lo stesso livello di protezione per prevenire vulnerabilità che potrebbero essere sfruttate da attori malevoli.

Il modello VDA ISA 6.0 – Novità e aggiornamenti chiave

L’evoluzione dello standard TISAX non si ferma mai. Con il rilascio della versione 6.0 del catalogo VDA ISA nell’ottobre 2023, entrata ufficialmente in vigore il 1° aprile 2024, l’industria automotive ha fatto un significativo passo avanti nella definizione dei requisiti di sicurezza.

VDA ISA 6.0: Rilasciato nell’ottobre 2023, in vigore dal 1 aprile 2024

Focus IT e OT rafforzato

La versione 6.0 introduce un’attenzione molto più marcata sulla convergenza tra Information Technology (IT) e Operational Technology (OT). Le tecnologie operative, che controllano i processi di produzione fisica, sono ora considerate critiche quanto i sistemi IT tradizionali. Questo riflette la crescente automazione e digitalizzazione delle fabbriche moderne, dove un attacco ai sistemi OT potrebbe bloccare la produzione o compromettere la sicurezza fisica.

I requisiti richiedono ora misure specifiche per garantire la disponibilità dei sistemi critici, la segregazione tra reti IT e OT, e protocolli di risposta agli incidenti che tengano conto delle specificità delle tecnologie operative.

Revisione catalogo protezione dati

Il catalogo dedicato alla protezione dei dati personali ha subito una revisione completa. Questo aggiornamento riflette l’evoluzione delle normative sulla privacy, in particolare il GDPR europeo e le sue implementazioni nazionali. I nuovi requisiti coprono aspetti come la minimizzazione dei dati, la gestione del consenso, i diritti degli interessati e le valutazioni di impatto sulla protezione dei dati (DPIA).

Le organizzazioni devono ora dimostrare una comprensione più approfondita dei flussi di dati personali e implementare controlli più stringenti per la loro protezione.

Nuova classificazione etichette

Un cambiamento importante riguarda la classificazione delle informazioni. Le precedenti etichette “Info High” e “Info Very High” sono state sostituite rispettivamente con “Confidential” e “Strictly Confidential”. Questo nuovo sistema di classificazione è più intuitivo e allineato con le pratiche internazionali di gestione delle informazioni.

Le organizzazioni devono aggiornare le proprie politiche di classificazione, le procedure di handling e i sistemi di labeling per riflettere questa nuova nomenclatura.

Requisiti fondamentali del modello VDA ISA 6.0

Il cuore di TISAX VDA ISA 6.0 risiede nei suoi requisiti specifici, progettati per coprire tutti gli aspetti critici della sicurezza delle informazioni nell’ecosistema automotive. Questi requisiti sono strutturati in domini che coprono dalla governance alla tecnologia, dalle persone ai processi.

Comprendere questi requisiti è essenziale non solo per ottenere la certificazione, ma soprattutto per costruire una postura di sicurezza robusta e resiliente che protegga realmente l’organizzazione dalle minacce moderne.

Protezione dei dati e gestione del rischio

Identificazione e classificazione delle informazioni

Il primo passo fondamentale è sapere esattamente quali informazioni l’organizzazione possiede, dove sono localizzate e quale è il loro livello di sensibilità. VDA ISA 6.0 richiede un processo sistematico di inventario e classificazione delle informazioni.

Le informazioni devono essere etichettate secondo le nuove categorie: Public, Internal, Confidential e Strictly Confidential. Per ciascuna categoria devono essere definiti requisiti specifici di handling, storage, trasmissione e distruzione.

La classificazione non è un’attività una tantum, ma un processo continuo che deve essere integrato nei workflow operativi. Quando viene creato un nuovo documento o dataset, deve essere immediatamente classificato secondo i criteri stabiliti.

Protezione di prototipi e dati di produzione

I prototipi di nuovi veicoli e i dati di produzione rappresentano alcuni degli asset più preziosi nell’industria automotive. La loro esposizione prematura potrebbe dare vantaggi competitivi ai concorrenti o danneggiare le strategie di lancio di prodotto.

VDA ISA 6.0 richiede misure specifiche per questi asset, inclusi:

  • Controlli di accesso fisico alle aree dove sono custoditi i prototipi
  • Crittografia dei dati di produzione in transito e a riposo
  • Procedure di handling per la movimentazione sicura
  • Tracciabilità completa di chi accede a cosa e quando
  • Accordi di non divulgazione (NDA) con tutti gli individui che entrano in contatto con queste informazioni

Gestione degli accessi e controllo utenti

Il principio del “least privilege” (privilegio minimo necessario) è centrale in VDA ISA 6.0. Gli utenti devono avere accesso solo alle informazioni e ai sistemi strettamente necessari per svolgere le loro mansioni lavorative.

I requisiti includono:

  • Processo di provisioning: procedure formali per concedere, modificare e revocare accessi
  • Autenticazione forte: multi-factor authentication per l’accesso a sistemi critici e informazioni sensibili
  • Revisioni periodiche: verifica regolare (almeno annuale) dei diritti di accesso per identificare e rimuovere permessi non più necessari
  • Gestione delle identità privilegiate: controlli aggiuntivi per account amministrativi e di servizio
  • Logging e monitoring: registrazione di tutti gli accessi a informazioni confidenziali e sistemi critici

La gestione degli accessi deve estendersi anche a fornitori, consulenti e altri terze parti che potrebbero aver bisogno di accedere a sistemi o informazioni dell’organizzazione.

Progetto Tisax

l’adeguamento ai requisiti della norma TISAX (Trusted Information Security Assessment Exchange), secondo il modello VDA 6.0,

comprende l’insieme dei processi, delle funzioni organizzative, delle risorse umane, delle infrastrutture IT e delle sedi operative coinvolte nel trattamento, nella gestione e nello scambio di informazioni sensibili, in particolare quelle di natura riservata, proprietaria e/o rilevanti per il settore automotive e per la catena di fornitura.

La definizione del perimetro consente di:

  • Identificare in modo chiaro l’ambito di applicazione della valutazione TISAX.
  • Assicurare la coerenza tra i requisiti normativi e l’organizzazione reale dell’azienda.
  • Stabilire i confini entro cui verranno sviluppate, applicate e verificate le misure di sicurezza delle informazioni.
  • Garantire che le attività di produzione e revisione documentale siano pienamente allineate agli obiettivi di conformità e di riduzione del rischio.

Solo una volta definito e approvato il perimetro di certificazione sarà possibile procedere in modo strutturato con la Produzione e Revisione Documentale, assicurando che tutta la documentazione del Sistema di Gestione della Sicurezza delle Informazioni (SGSI/TISAX) sia:

  • coerente con i processi effettivamente in essere,
  • adeguata al livello di protezione richiesto,
  • conforme ai requisiti previsti dalla norma TISAX (VDA 6.0),

funzionale alla successiva fase di assessment.

Protezione della privacy e conformità GDPR

Nuovi requisiti per la tutela dei dati personali

Il catalogo VDA ISA 6.0 dedica un’attenzione particolare e rinnovata alla protezione dei dati personali, riflettendo l’importanza crescente della privacy nell’era digitale e l’impatto delle normative come il GDPR europeo.

Il nuovo catalogo espande significativamente i requisiti relativi ai dati personali, richiedendo alle organizzazioni di:

  • Mappare i flussi di dati personali: documentare quali dati personali vengono raccolti, dove vengono conservati, come vengono processati e con chi vengono condivisi
  • Designare ruoli e responsabilità: identificare titolari del trattamento, responsabili del trattamento e, dove richiesto, Data Protection Officer (DPO)
  • Implementare privacy by design: integrare la protezione della privacy fin dalla progettazione di nuovi processi e sistemi
  • Gestire il consenso: implementare meccanismi per ottenere, registrare e gestire il consenso degli interessati quando richiesto
  • Facilitare i diritti degli interessati: procedure per gestire richieste di accesso, rettifica, cancellazione, portabilità e opposizione

Minimizzazione e gestione del ciclo di vita

Un principio fondamentale è la minimizzazione dei dati: raccogliere e conservare solo i dati personali strettamente necessari per finalità legittime e definite.

VDA ISA 6.0 richiede politiche chiare sulla retention che specifichino:

  • Quanto tempo ciascuna categoria di dati personali viene conservata
  • Le basi legali per la conservazione
  • Procedure automatizzate per la cancellazione al termine del periodo di retention
  • Processi di anonimizzazione per dati che devono essere conservati per scopi statistici o di ricerca

Le organizzazioni devono anche condurre Data Protection Impact Assessments (DPIA) quando introducono trattamenti che potrebbero presentare rischi elevati per i diritti e le libertà degli interessati.

Attività flusso

  1. Assessment volto a verificare lo stato di implementazione dei processi.) basate sul documento di self-assessment del VDA 6.0
  2. Redazione del Report di Audit interno con Gap Analysis ed azioni di remediations e condivisione con Cliente
  3. Realizzazione di procedure/documentazione di Controlli previsti dal TISAX
  4. Compilazione del documento di self assessment VDA 6.0 da inviare all’ente certificatore
  5. Sessioni di formazione in materia cybersicurezza ai dipendenti*
  6. Supporto all’Audit di Certificazione da remoto eseguito dall’Ente Certificatore

LE IMPLEMENTAZIONI TECNOLOGICHE sono da considerarsi asset fondante di tale schema

Formazione generale del personale

Dal punto di vista TISAX, la formazione in materia di cybersicurezza non è un’attività “accessoria”, ma una misura di controllo fondamentale. Nel VDA ISA (che è lo standard di riferimento per TISAX) rientra nell’area Information Security Awareness & Training ed è direttamente collegata ai requisiti di gestione del rischio umano.

La formazione rappresenta una misura preventiva essenziale per la riduzione del rischio residuo legato al fattore umano, che è riconosciuto come uno dei principali vettori di compromissione della sicurezza delle informazioni.

Essa contribuisce in modo diretto alla conformità ai controlli VDA ISA relativi alla consapevolezza del personale, alla gestione degli incidenti e alla protezione delle informazioni sensibili lungo la supply chain automotive.

L’azienda
Blog
  • Nuove modalità accesso MEPA
    5 Febbraio 2024
    in Trend e Novità del Settore
    0 Comments

    Dal 1 gennaio 2024 l’accesso al MEPA sarà possibile esclusivamente tramite l’utilizzo di SPID o Carte di identità elettronica, alcuni dettagli aggiuntivi includono il fatto che le nuove modalità di autenticazione sono conformi alle regole tecniche di Agid per le piattaforme di e-procurement, allineandosi al […]

    READ MORE
Rassegna Stampa
  • Le modifiche del Decreto Aiuti Quater al Superbonus 110
    9 Dicembre 2022
    in Press
    0 Comments

    Per tutti Voi : un documento redatto da ANCE, per avere informazioni di facile reperibilità  relativo al D.L. Aiuti-quater, Legge 18 novembre 2022, n. 176, con focus su: Condomini, “mini condomini”, ONLUS ed APS Unifamiliari e unità indipendenti poste in edifici plurifamiliari ONLUS/OdV/APS con attività […]

    READ MORE
Roma – Sede legale e operativa
Via Felice Cavallotti, 53
00152 - Roma
P.IVA 15055161002
Tel +39 0645675340 - +39 0645675341
E-mail gestione@kuhnsrl.com
Milano – Sede operativa
Via Bagutta,13
20121 Milano
P.IVA 15055161002
Tel +39 0236102290
E-mail gestione@kuhnsrl.com
© COPYRIGHT KUHN S.R.L. 2025 | Privacy Policy | Cookie Policy
CREDITS.
Questo sito non utilizza alcuna tecnica di profilazione degli utenti, né cookies pubblicitari, ma solo cookies tecnici necessari al corretto funzionamento del sito e strumenti statistici che trattano i dati in forma aggregata ed anonima, per cui non è necessario prestare il consenso. Per maggiori informazioni puoi consultare la nostra Cookie Policy
Ok, ho capito